漏洞描述
SolarWinds Orion API 嵌入在 Orion Core 中,被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数,可以绕过 API 身份验证,这可能允许攻击者执行未经身份验证的 API 命令。如果攻击者将WebResource.adx,scriptResource.adx,i18n.ashx 或 Skipi18n 的 PathInfo 参数附加到对 SolarWinds Orion 服务器的请求,SolarWinds 可能会设置 SkipAuthorization 标志,该标志可能允许处理API请求无需身份验证。
漏洞编号
CVE-2020-10148
漏洞危害
攻击者可利用该漏洞远程执行任意代码,有专业黑客组织利用该漏洞投递代号为'SUPERNOVA'的恶意程序。
漏洞等级
高危
受影响版本
SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本
SolarWinds Orion 2019.4 HF 6(2020年12月14日发布)
SolarWinds Orion 2020.2.1 HF 2(发布于2020年12月15日)
SolarWinds Orion 2019.2 SUPERNOVA补丁(2020年12月23日发布)
SolarWinds Orion 2018.4 SUPERNOVA补丁(2020年12月23日发布)
SolarWinds Orion 2018.2 SUPERNOVA补丁(2020年12月23日发布)
修复方案
将 SolarWinds 软件升级至安全版本。
/
网络安全